HTTP “pole turvaline” ehk kuidas veeb HTTPS peale suunata?

Peeter Marvet
Jaga:

Sellist teadet hakkab kuvama juba juulis ilmuv Google Chrome versioon 68:

Oktoobris ilmuvas Chrome versioonis  70 saab see teade olema ka punasega esile toodud, kui kasutaja veebilehel midagi sisestama hakkab:

Midagi uut selles ei ole, näiteks 2017 jaanuaris oleme kirjutanud blogis Chrome 56, “Not Secure” HTTP ja kuidas kolida HTTPS peale ning makseandmeid käsitlevate veebide puhul nõutakse juba ka HTTPS puhul vanemate standardite välistamist:  30. juunist jõustub e-kaubanduse jaoks oluline HTTPS nõue. Kuigi meie serverite liiklusest on üle poole HTTPS, kasutab umbes 2/3 meie (väiksemate) klientide veebidest endiselt HTTP-ühendust.

Miks HTTPS vajalik on?

Turvamata ühenduse puhul on näiteks WiFis võimalik salvestada kõik kasutaja brauseri ja serveri vahel liikunud info, sh kasutajanimed ja paroolid, samuti on mitmeid võimalusi kasutaja võlts-lehele suunamiseks. See pilt on tehtud salvestades WiFi-liiklust:

Kuidas HTTPS veebiühendust kaitseb?

Kahel moel:

  1. veebibrauseri ja serveri vaheline side krüpteeritakse (šifreeritakse)
  2. enne iga ühenduse loomist kontrollib brauser, et ta suhtleks ikka õige serveriga – sest kui liiklust saab “pealt kuulata”, siis saab ilmselt ka “vahele rääkida”

Kuidas oma veeb turvalise HTTPS peale suunata?

Me oleme proovinud kõik HTTPS kasutuselevõtuga seonduva võimalikult lihtsaks teha ja ära automatiseerida. Enamus järgmistest sammudest tähendab vaid ühte klõpsu Minu Zone iseteeninduses:

  1. TLS sertifikaati tellimine – me toetame tasuta Let’s Encrypt sertifikaate, nende väljastamine ja uuendamine on täielikult automatiseeritud. Kas aga tasuta on piisavalt hea? Sama sertifikaati kasutab näiteks Majandus- ja Kommunikatsiooniministeerium, seega kui sobib valitsusasutusele sobib ka Sulle!
  2. Veebiserveri seadistamine selle sertifikaadi ja HTTPS ühenduse kasutamiseks. Automatiseeritud!
  3. Veebirakenduse (WordPress, Magento jt) seadistamine võib vajada veidike seadistuste muutmist ja teatavatel puhkudel ka pisiparandusi koodist. Vaata allolevaid juhiseid ja kui hätta jääd, kirjuta info@zone.ee (hüva nõu saame jagada niisama, aga kui on reaalselt vaja aega panustada, siis küsime tunnihinda).

Me oleme teinud üksikasjalikud juhised levinumate veebirakenduste seadistamiseks mis sisaldavad nii punkt-haaval lahti kirjutatud tegevusi kui video-õpetust:

Erijuhendita rakenduste puhul võib alustada nupust Suuna liiklus HTTPS peale:

Sertifikaadi tellimine ja aktiveerimine võtab reeglina umbes 10 minutit aega. Kui see ei õnnestu või veeb uues olukorras ei toimi, saab suunamise samast välja lülitada, veeb jätkab tööd HTTP ühenduse peal ning HTTPS korda tegemisega võib rahulikult edasi tegeleda.

Kui täis-automaatne protsess riskantne tundub, siis võib mõistagi ka lisada Let’s Encrypt sertifikaadi, veenduda ca 10 minuti pärast HTTPS toimimises, teha veebirakenduses muudatused ja seejärel lisada kogu liikluse suunamise:

Ja nagu öeldud – kui tekib küsimus, siis võid kasutada postituse kommentaare või kirjutada info@zone.ee ja nõu küsida. Aga võid tulla ka meie help-zone Slack’i chatti 😉

Populaarsed postitused

Aegunud PHP on aegunud PHP

Hasso Tepper
Kui esimene tänapäevane PHP versioon 25 aastat tagasi avalikuks tehti, oli internet hoopis teistsugune. Nõudmised veebilehtedele olid tagasihoidlikud...

Zone Veebiakadeemia - kuidas end Internetis nähtavaks teha

blogi
Zone Veebiakadeemia uusima episoodiga hakkame tutvustama ägedaid Zone koostööpartnereid. Seekord on meil külas Nobel Digitali tootejuht ja partner...

Nutikas Pilveserver: tark lahendus e-poe ja nõudlike veebiprojektide jaoks

Tanel Männik
Nutikas Pilveserver pakub nüüdisaegset ja kulutõhusat lahendust, mis ühendab endas paindlikkuse ja võimsuse, et rahuldada kõrge külastatavusega...

Kuidas me aita(si)me tuntud veebilehtedel suurema külastatavusega toime tulla

Digimaailmas on veebilehtede kiirus ja usaldusväärsus kriitilise tähtsusega. Ikka ja jälle oleme silmitsi olukordadega, kus kliendi käsutuses olev...